현재 PostGIS DB를 보유하고 있으며 기본 작업을하고 있습니다. 그러나 나는 pg_query
을 사용하여 데이터베이스에 직접 삽입하고 있습니다. pg_query_params
을 사용하여 SQL 주입을 방지하는 것이 권장되었지만이를 구현하는 방법을 잘 모릅니다. 아래는 사이트 위치에 대한 내 현재 insert
성명의 예입니다. 예를 들어,이 예제에서는 pg_query_params
을 어떻게 활용합니까? 나는 더 많은 보안을 구현해야한다는 것을 알고 있지만 그것은 출발점이다.DB 보안 강화 INSERT
편집 : drupal 양식 API를 사용하려고했지만 두통이 컸습니다. 나는 이것이 자동으로 많은 것을 할 것이라는 것을 깨닫는다.
$sql = "INSERT INTO sites_tbl (river_id ,sitename ,the_geom) VALUES ('$_POST[river_id]','$_POST[sitename]',st_geomfromtext('POINT($geomstring)',27700))";
$result = pg_query($sql);
이 방법은 스택 오버 플로우에 더 적합하며이 쿼리는 SQL 삽입에 취약합니다. – rook
나는 그것을 거기에 넣었다. 그리고 나는 그것을 여기에 넣으라고 들었다. 내 질문에 쿼리에 SQL 주입을 막으려 고하고있다 .... – Tom